로그는 크게 3가지 정도 분류된다.
Windows Events Log, Syslog messages, SNMP trap messages
각각을 하나로 모으는 과정은 아래 몇가지 방법을 이용한다.
1. Syslog를 이용하여 유닉스 및 network device들의 log 집중 관리
- syslog는 그자체로 훌륭한 중앙 로그집중 관리툴이다.
- syslog는 산업 표준 logging system으로 대부분의 유닉스(리눅스 포함)및 네트웍 장비들이 지원한다.
2. rsyslog를 이용하여 syslog forwarding
- rsyslog는 syslog message를 수신하면서 동시에 다른 syslog server로 log를 forwarding한다.
- 네트웍 구간별로 syslog server가 존재한다면 각 구간별 syslog server에는 rsyslog를 설치하여 log를 중앙으로 forwarding해준다.
3. Log management tool을 이용한 로그 수집
- Log management tool을 로그의 수신, 분석 및 저장 역할을 담당한다.
- syslog및 windows events를 모아서 분석하고 리포팅하며 또한 Database에 저장한다.
- 페이게이트는 GFI EventsManager를 이용중
- DB에 저장된 로그는 검색이 가능하며 PCI DSS의 로그보관정책에 따라 Tape에 백업해둘수도 있다.
------------------
전체 구조를 flow로 구성해보면
(Unix & Network device log)
-> rsyslog server(네트웍 구간별로 존배)
-> central rsyslog server
-> Log management tool
-> Database
-> Backup Tapes
의 로그흐름이 생성된다.
2009년 12월 5일 토요일
2009년 11월 25일 수요일
모의해킹 방법
PCI DSS Requirements 11 에서 모의해킹(Penetration test)을 요구한다.
아래 간단한 모의해킹 방법을 정리해보았다.
1. download metasploit tool
http://www.metaspolit.com
2. open port scan with zenmap(nmap tool gui version)
target IP들에 대해서 open port가 있는 IP들을 scan한다.
IP대역 지정은 CIDR 포맷이나 range로 지정가능하다.
CIDR 예: 211.53.212.0/24
IP range : 21.53.212.1-254
3. port가 열려있는 IP들에 대해서 nessus vulnerability scan을 수행
만일 high vulnerabilities가 발견된다면
4. metasploit tool을 이용하여 exploit test 수행
- 발견된 취약점 형태에 따른 적절한 metasploit module을 선택하여 모의해킹 수행
-----------
위 절차는 사무실내에서(internal penetration test)와
사무실 외에서(external penetration test)에서 수행해야한다.
실제 모의해킹은 network에 대해서와 application에 대해서 시도해봐야하는데
위 절차는 network에 대한 절차이고 application에 대해서는 OWASP Top10 vulnerability guide에 의해 자체적으로 별도 수행해야한다.
-----------
참고로 일부 ASV scan 업체의 경우 ASV scan과 함께 penetration test 동시에 수행하고 결과를 제공하기도 한다.
아래 간단한 모의해킹 방법을 정리해보았다.
1. download metasploit tool
http://www.metaspolit.com
2. open port scan with zenmap(nmap tool gui version)
target IP들에 대해서 open port가 있는 IP들을 scan한다.
IP대역 지정은 CIDR 포맷이나 range로 지정가능하다.
CIDR 예: 211.53.212.0/24
IP range : 21.53.212.1-254
3. port가 열려있는 IP들에 대해서 nessus vulnerability scan을 수행
만일 high vulnerabilities가 발견된다면
4. metasploit tool을 이용하여 exploit test 수행
- 발견된 취약점 형태에 따른 적절한 metasploit module을 선택하여 모의해킹 수행
-----------
위 절차는 사무실내에서(internal penetration test)와
사무실 외에서(external penetration test)에서 수행해야한다.
실제 모의해킹은 network에 대해서와 application에 대해서 시도해봐야하는데
위 절차는 network에 대한 절차이고 application에 대해서는 OWASP Top10 vulnerability guide에 의해 자체적으로 별도 수행해야한다.
-----------
참고로 일부 ASV scan 업체의 경우 ASV scan과 함께 penetration test 동시에 수행하고 결과를 제공하기도 한다.
2009년 11월 22일 일요일
PCI DSS 주기적으로 해야할 체크리스트
PCI DSS 감사를 매년 진행하면서 이미 진행했어야 하는 사항을 빠트리기 쉽고 과거진행했어야 할 사항은
감사시점에서 증빙을 제시하기 어려운것이 많으므로 미리미리 준비해야한다.
1. 매일 체크해야할 사항
- Log Reviews for Servers and network devices
2. 매주 체크해야할 사항
- File Integrity monitoring Review
- Anti-virus scan reports
3. 매월 체크해야할 사항
- 보안패치 반영사항
4. 분기별 확인사항
- 카드번호 검색 (데스크탑, 파일서버 및 데이터베이스)
- 내부 취약점 Scanning
- 모든 공개 IP에 대한 ASV scanning
- 유저 Account Privilege Review and removal of users not logged in last 90 days
- 무선망 취약점 분석
5. 반기별 확인사항
- 방화벽 및 라우터 룰셋 점검
6. 연간 확인사항
- 매년 암호화 키 로테이션
- Physical Security Review of Off-site Tape Backup location
- Media Inventories of medias stored onsite and offsite locations
- Internal Penetration Testing (Network and Application)
- Risk Assessment for the environment in scope
- External Penetration Testing (Network and Application)
- Policies & Procedures Review
- Incident Response Testing
- Information Security Awareness Training
- Sign-off from employees that they have read and understood the information security policies and procedures
감사시점에서 증빙을 제시하기 어려운것이 많으므로 미리미리 준비해야한다.
1. 매일 체크해야할 사항
- Log Reviews for Servers and network devices
2. 매주 체크해야할 사항
- File Integrity monitoring Review
- Anti-virus scan reports
3. 매월 체크해야할 사항
- 보안패치 반영사항
4. 분기별 확인사항
- 카드번호 검색 (데스크탑, 파일서버 및 데이터베이스)
- 내부 취약점 Scanning
- 모든 공개 IP에 대한 ASV scanning
- 유저 Account Privilege Review and removal of users not logged in last 90 days
- 무선망 취약점 분석
5. 반기별 확인사항
- 방화벽 및 라우터 룰셋 점검
6. 연간 확인사항
- 매년 암호화 키 로테이션
- Physical Security Review of Off-site Tape Backup location
- Media Inventories of medias stored onsite and offsite locations
- Internal Penetration Testing (Network and Application)
- Risk Assessment for the environment in scope
- External Penetration Testing (Network and Application)
- Policies & Procedures Review
- Incident Response Testing
- Information Security Awareness Training
- Sign-off from employees that they have read and understood the information security policies and procedures
2009년 10월 29일 목요일
SSH Port Forwarding
LAN to WAN direct outbound 금지에 대해서 고민하던중
SSH Port forwarding을 적용하기로 하였다.
일단 TCP protocol에 대해서만 적용가능하므로
Application Server에서 outbound access가 필요한 경우
HTTP Forward Proxy를 사용하거나 SSH Port Forwarding을 사용하면
대부분의 외부 접근 문제를 해결할 수 있다.
단 현재까지 아직 검증되지 않은 사항은
장애발생시 Failover나 얼마나 안정적으로 동작할것인지
그리고 어느정도의 추가 부하가 생길것인지 가늠하기가 어렵다.
OpenSSH가 무난하고
Client와의 연계를 위해서는 VanDyke software의 SecureCRT를 함께 검토중이다.
SSH Port forwarding을 적용하기로 하였다.
일단 TCP protocol에 대해서만 적용가능하므로
Application Server에서 outbound access가 필요한 경우
HTTP Forward Proxy를 사용하거나 SSH Port Forwarding을 사용하면
대부분의 외부 접근 문제를 해결할 수 있다.
단 현재까지 아직 검증되지 않은 사항은
장애발생시 Failover나 얼마나 안정적으로 동작할것인지
그리고 어느정도의 추가 부하가 생길것인지 가늠하기가 어렵다.
OpenSSH가 무난하고
Client와의 연계를 위해서는 VanDyke software의 SecureCRT를 함께 검토중이다.
2009년 10월 12일 월요일
Anti DDoS 장비가 IDS의 일종인가?
Anti DDoS장비를 IDS로 볼 수 있는지에 대한 의견이 분분합니다.
일단 저는 Anti DDoS장비를 IDS/IPS의 일종으로 보고 있습니다.
IDS/IPS 설치는 PCI DSS Requirements중 하나이고 전자금융거래법 시행세칙에서도 요구되고 있습니다.
정확한 사항은 QSA의 답변을 받아봐야할것 같습니다.
OSI Layer 1에서부터 7까지중 어디까지 Detect하느냐가 기존의 IDS와 Anti DDoS장비의 중요한 차이점이고
PCI DSS Requirements에 OSI 7 Layer 수준까지 명시하고 있지는 않아서
QSA의 판단에 따라서 보완통제를 적용하든 적용없이 인정할 수 있겠다는 생각입니다.
일단 저는 Anti DDoS장비를 IDS/IPS의 일종으로 보고 있습니다.
IDS/IPS 설치는 PCI DSS Requirements중 하나이고 전자금융거래법 시행세칙에서도 요구되고 있습니다.
정확한 사항은 QSA의 답변을 받아봐야할것 같습니다.
OSI Layer 1에서부터 7까지중 어디까지 Detect하느냐가 기존의 IDS와 Anti DDoS장비의 중요한 차이점이고
PCI DSS Requirements에 OSI 7 Layer 수준까지 명시하고 있지는 않아서
QSA의 판단에 따라서 보완통제를 적용하든 적용없이 인정할 수 있겠다는 생각입니다.
2009년 7월 6일 월요일
Forward Proxy
Forward Proxy가 LAN area의 서버에서 Direct outbound access 금지 규정에 대한 훌륭한 솔루션임을 확인하였습니다.
HTTP/HTTPS outbound access가 필요한 다양한 Application에서 forward proxy를 이용할 수 있도록 기본 지원합니다.
검토한 Application등은 아래와 같습니다.
* yum update 시 proxy server 지정가능
* windwos update시 IE 연결 설정에서 proxy server 지정가능
* apache commons httpclient library에서 proxy server 지정가능
* wget과 같은 command line tool에서 proxy server 지정가능.
Proxy server 이용시 다양한 추가 정책을 설정하여 보안을 강화할 수 있습니다. (유저인증, Source IP제한, Target IP 제한 등)
ActiveDirectory 정책으로 이용하는 모든 PC에서 Default Proxy Server를 강제 설정할 수 있도록 지원하는것도 확인하였습니다.
cache기능을 함께 이용하면 OS Update에 대한 traffic 감소 효과도 있을것으로 예상합니다.
HTTP/HTTPS outbound access가 필요한 다양한 Application에서 forward proxy를 이용할 수 있도록 기본 지원합니다.
검토한 Application등은 아래와 같습니다.
* yum update 시 proxy server 지정가능
* windwos update시 IE 연결 설정에서 proxy server 지정가능
* apache commons httpclient library에서 proxy server 지정가능
* wget과 같은 command line tool에서 proxy server 지정가능.
Proxy server 이용시 다양한 추가 정책을 설정하여 보안을 강화할 수 있습니다. (유저인증, Source IP제한, Target IP 제한 등)
ActiveDirectory 정책으로 이용하는 모든 PC에서 Default Proxy Server를 강제 설정할 수 있도록 지원하는것도 확인하였습니다.
cache기능을 함께 이용하면 OS Update에 대한 traffic 감소 효과도 있을것으로 예상합니다.
2009년 5월 20일 수요일
List of Compliant Service Providers
전세계 PCI DSS 인증받은 Service Provider 목록이 있습니다.
Asia Pacific 지역은 www.visa-asia.com/spregistry 에서 확인가능하며
전세계 모든 지역에 대한 목록은 www.visa.com/splisting 에서 확인가능합니다.
spregistry에 등록하는것은 연간 5천불의 비용이 드는데 한국의 경우 Visa에 한정된 범위내에서 무료 등록 지원을 해주고 있습니다.
visa-asia.com site는 update가 좀 늦는군요.
알고 있는 회사가 존재하는지 찾아보세요
Master Card 목록은 여기에 있군요.
http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Service%20Providers%20-%20November%2016%202009.pdf
Asia Pacific 지역은 www.visa-asia.com/spregistry 에서 확인가능하며
전세계 모든 지역에 대한 목록은 www.visa.com/splisting 에서 확인가능합니다.
spregistry에 등록하는것은 연간 5천불의 비용이 드는데 한국의 경우 Visa에 한정된 범위내에서 무료 등록 지원을 해주고 있습니다.
visa-asia.com site는 update가 좀 늦는군요.
알고 있는 회사가 존재하는지 찾아보세요
Master Card 목록은 여기에 있군요.
http://www.mastercard.com/us/sdp/assets/pdf/Compliant%20Service%20Providers%20-%20November%2016%202009.pdf
피드 구독하기:
글 (Atom)